Il volume degli attacchi ransomware nel 2021 è aumentato del 150% rispetto al 2020 e, secondo l'FBI, a metà del 2021 erano in circolazione 100 tipi diversi di ransomware. Le dimensioni degli attacchi sono varie, da piccoli e molto mirati a massicci e diffusi. I senatori Dick Durbin e Chuck Grassley hanno informato il Senato nel luglio del 2021 che 50-75% di tutti gli attacchi ransomware vengono effettuati contro le piccole imprese. La maggior parte non viene segnalata, per questo possiamo imparare di più da attacchi più grandi come quello contro SolarWinds che ha colpito centinaia di organizzazioni.
Il ransomware è un codice software progettato per bloccare (o bloccare l'accesso a) un sistema informatico, una rete, dei file e/o dati fino a quando la vittima non paga una determinata somma di denaro: il riscatto.
Finora, nel 2021, non sono mancati attacchi ransomware di grandi dimensioni e devastanti. Abbiamo individuato i primi 5 in termini di importanza, basandoci sul significato che rivestono per la sicurezza della società in vista del 2022. A tal proposito, solo perché un attacco ha avuto come conseguenza il pagamento di un ingente riscatto, non lo rende devastante o potenzialmente devastante per la società.
I 5 attacchi ransomware più devastanti del 2021 aggiornati al 1 novembre
1. Attacco DarkSide alla Colonial Pipeline Company
All'inizio di maggio Colonial Pipeline Company ha appreso di essere stata vittima di un attacco ransomware, che ha rapidamente interrotto la fornitura di carburante in un'ampia fascia del sud-est degli Stati Uniti, con una potenziale diffusione a nord fino a New York. L'attacco ransomware Colonial Pipeline è stato, di gran lunga, l'attacco di più alto profilo del 2021. Non c'è da stupirsi: siamo una società di veicoli a motore e gli americani hanno bisogno di carburante. Colonial fornisce il 50% del carburante della costa orientale.
Ciò che ha reso l'attacco particolarmente pericoloso è stata la reazione dei consumatori. La gente si è fatta prendere dal panico e ha comprato tutta la benzina che poteva conservare. Inoltre, alcune persone l'hanno conservata in contenitori non sicuri, come bidoni e sacchetti di plastica, che possono esplodere e bruciare se contengono carburante.
La lettura dei resoconti sul metodo di attacco, che non richiedeva un alto grado di sofisticatezza, è stata sconvolgente. La Colonial non aveva implementato delle misure di sicurezza adeguate, come l'autenticazione a più fattori (MFA). Gli aggressori sono riusciti a introdursi nella VPN dell'azienda piuttosto facilmente poiché tutto ciò di cui avevano bisogno consisteva nel provare qualche password.
I gruppi di hacker si sono sentiti stimolati dalla facilità con cui è stata violata una parte così vitale dell'infrastruttura nazionale. E ora credono che nel 2022 potrebbero riuscire ad abbattere altre infrastrutture di importanza critica senza grandi sforzi.
Riscatto pagato: 4,4 milioni di dollari
2. Attacco malvagio a JBS USA
Più tardi, a maggio, JBS, il più grande fornitore di carne bovina al mondo, è stato colpito da un attacco ransomware del gruppo ransomware REvil. A causa dell'attacco, la divisione americana, JBS USA, ha dovuto interrompere completamente le operazioni. Ovviamente, la carne di manzo è scomparsa dagli scaffali di molti negozi degli Stati Uniti, poiché la violazione ha colpito la catena di approvvigionamento originaria di JBS USA.
L'incidente REvil-JBS rivela la vulnerabilità della catena di approvvigionamento alimentare degli Stati Uniti di fronte a un attacco molto più ampio e aggressivo. È facile immaginare che un attacco coordinato, simultaneo, sponsorizzato dal governo, nei confronti dei più importanti fornitori di alimenti, potrebbe innescare una situazione di grave penuria di cibo in tutta la nazione.
Sebbene JBS abbia affermato che i suoi "robusti sistemi IT e server di backup crittografati" hanno contribuito a garantire un ripristino rapido, questa non sembra essere l'intera causa del ripristino. Più tardi, nel mese di giugno, JBS ha rivelato di aver effettivamente pagato un riscatto significativo per evitare la compromissione dei dati aziendali, dei clienti e dei dipendenti.
Riscatto pagato: 11 milioni di dollari
3. Attacco ransomware di natura non nota alle scuole pubbliche di Buffalo
Il 12 marzo, un attacco ransomware (da parte di criminali sconosciuti) ha colpito il sistema scolastico pubblico di Buffalo, nello stato di New York. Attualmente, il sistema serve 34.000 studenti. Mentre il sovrintendente delle scuole di Buffalo ha minimizzato l'impatto dell'attacco, un'indagine ha stabilito che i documenti mancanti includevano decenni di materiale didattico, documenti degli studenti e circa 5.000 domande di ammissione alle scuole per il mese di settembre. Inoltre, i sistemi essenziali per il funzionamento del distretto, come quelli legali e contabili, erano stati paralizzati, secondo i dettagli pubblicati e un video sull'argomento di WGRZ.
Questo incidente evidenzia una serie di circostanze inquietanti che riguardano un numero esagerato di scuole in tutta la nazione. Gli istituti scolastici sono semplicemente carenti di personale per quanto riguarda la sicurezza informatica, in particolare la cybersecurity. Ad agosto 2021, il volume dei cyberattacchi è diventato più della metà.
Riscatto pagato: Sconosciuto
4. Attacco della Evil Corp a CNA Financial
Il 21 marzo scorso, CNA Financial, una delle maggiori compagnie assicurative statunitensi, è stata colpita da un attacco ransomware che ha causato una grave interruzione della rete. Dopo sei settimane, la rete dell'azienda non era ancora completamente operativa, anche se i dirigenti dell'azienda hanno dichiarato in una dichiarazione di aver preso "provvedimenti immediati disconnettendo proattivamente i [suoi] sistemi" dalla rete CNA.
L'aspetto più inquietante di questo incidente è che CNA disponeva di un ambiente di sicurezza più sofisticato di quello della maggior parte delle organizzazioni. Eppure, sono stati hackerati lo stesso. Ironia della sorte, l'azienda offre un'assicurazione informatica. L'incidente rivela anche un panorama di minacce in crescita: le operazioni di accesso remoto. In questo caso, gli hacker hanno criptato 15.000 dispositivi, tra cui i computer di molti dipendenti remoti.
Non siamo certi al 100% che dietro l'attacco ci sia Evil Corp. Tuttavia, gli hacker hanno utilizzato un malware chiamato Phoenix Locker, che è il ransomware di Evil Corp, chiamato "Hades". Con sede in Russia, Evil Corp non è soggetta a sanzioni statunitensi e CNA ha dichiarato che gli hacker non sono soggetti a sanzioni statunitensi.
Riscatto pagato: 40 milioni di dollari
5. Wizard Spider sull'esecutivo del servizio sanitario irlandese (HSE)
Il 14 maggio, il sistema sanitario irlandese gestito dal governo per i servizi sanitari pubblici, ha dovuto chiudere tutti i sistemi IT per evitare la diffusione di malware. Sfortunatamente, si era già infiltrato in alcune parti della rete durante l'attacco ransomware. HSE ha dovuto attendere fino al 30 giugno per il ripristino dei sistemi di registrazione online delle tessere sanitarie.
Gli hacker hanno avuto accesso alle informazioni sui pazienti e sul personale e hanno fatto trapelare dati sui 100.000 dipendenti di HSE e su milioni di pazienti. Un aspetto molto grave è dato dal fatto che le cartelle cliniche, le note e i dati sulle terapie e sui trattamenti facciano parte dei dati compromessi. Una dichiarazione rilasciata da HSE riportava che gli hacker di lingua russa hanno diffuso alcuni dei dati compromessi sul 'dark web' e che le persone ne sono state colpite. Nell'aggiornamento sull'incidente di sicurezza informatica di luglio, HSE ha dichiarato che i servizi sanitari erano ancora pesantemente compromessi a causa dell'attacco.
Ovviamente, le conseguenze delle violazioni del sistema sanitario hanno un impatto enorme sulla società. Sia in termini di informazioni compromesse che di psicosi nazionale. Chi mai crederebbe che un gruppo straniero e ostile sia a conoscenza di tutto ciò che riguarda la propria storia medica e possa pubblicarla apertamente perché tutti la vedano?
Nonostante la gravità della violazione, HSE ha dichiarato che NON pagherà alcun riscatto.
Come Splashtop può aiutarti a evitare gli attacchi ransomware
Molte aziende si affidano a VPN e RDP per consentire il lavoro a distanza, il che potrebbe esporle a minacce informatiche più ampie. Negli ultimi anni, Gartner e molti esperti di sicurezza hanno raccomandato alle aziende di abbandonare l'accesso VPN a livello di rete. Suggeriscono un passaggio a soluzioni di accesso remoto basate sull'identità a livello di applicazione che adottino un framework zero-trust.
Splashtop fornisce una soluzione di accesso remoto sicuro nativa per il cloud che protegge la rete dagli hacker. In che modo? La nostra soluzione non permette mai alle persone di entrare nella tua rete. È la nostra ricetta segreta.
Splashtop monitora costantemente le ultime minacce informatiche. Ci impegniamo a proteggere i nostri clienti. Per questo abbiamo formato unSecurity Advisory Councile lanciato unSecurity Feedper aiutare i professionisti IT e gli MSP a rimanere aggiornati sulle ultime vulnerabilità.